Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

La nébuleuse Android

Туманность Андроида

D'autres publications de cette rubrique (14)
  • Ajouter aux favoris
    Ajouter aux favoris

Plus d’Android, moins de sécurité

Lu par: 4098 Commentaires: 2 Cote de popularité: 39

jeudi 22 décembre 2016

#drweb

Ceci n’est pas un écran de télé. C’est un diagramme montrant le marché d’appareils Android.

La plateforme Android est fragmentée ; Chaque fabricant façonne Android pour ses propres besoins.

C’est pourquoi de multiples versions de l’OS existent et que des applications prennent en charge les périphériques produits par certains fabricants plutôt que les versions spécifiques du système d'exploitation.

De même, avec Linux, chacun peut designer un système d’exploitation. Pratique ? Si l’on cherche à utiliser son propre logiciel, la réponse est oui. Ceci peut également être bon pour promouvoir une plateforme.

Mais tant que la sécurité et la praticité sont concernées, les perspectives ne sont pas si excitantes.

Les OS ont des vulnérabilités, de même que les applis écrites pour eux.

Linux et Android NE FONT PAS EXCEPTION !

Les développeurs doivent « fermer » les vulnérabilités ou fermer leurs bureaux.

Qu’est-ce que cela représente de publier un patch de sécurité du point de vue d’un workflow de développement ?

Le patch a seulement besoin d’être testé avant sa publication. Il devra être installé avec succès mais également fonctionner correctement avec les autres logiciels et services. Mais un développeur ne peut jamais savoir combien il y a de logiciels et services installés dans un système.

Le test prend toujours du temps et donc, de l’argent. Et aussi cynique que cela puisse paraître, le testing doit être fait rapidement car les criminels peuvent déjà exploiter la vulnérabilité, ce qui pourrait endommager la réputation du développeur jusqu’au point où les utilisateurs rejettent le logiciel et entraîner une grosse perte de revenus. Même si c’est une entreprise en situation de monopole.

Bien sûr, on peut faire sans testing ; mais si quelque chose se passe mal Durant l’installation du patch, les risques sont gros pour l’entreprise.

#drweb

https://xakep.ru/2015/09/10/android-stats/

CVE-2014-8609 est une vulnérabilité découverte en septembre 2014. Elle a été transmise à l’équipe sécurité d’Android. Des corrections ont été apportées. La vulnérabilité a été officiellement annoncée en novembre 2014. Mais….les patches de sécurité ont été intégré uniquement dans Android 5.0.

Officiellement, la vulnérabilité CVE-2014-8609 a été fermée ; Cependant, les statistiques d’Android indiquent que 100% des appareils sont affectés par cette vulnérabilité et qu’ils resteront vulnérables pour un certain temps encore.

http://samag.ru/archive/article/2865

Certains pensent que la fragmentation est bonne puisque les cybercriminels ne peuvent pas infecter tous les appareils ; les exploits qu’ils créent ne peuvent fonctionner sur tous les appareils. Mais honnêtement, si votre Smartphone a été enrôlé dans un botnet et pas celui de votre voisin, vous sentirez-vous mieux ?

Linux est aussi fragmenté qu’Android. Cela représente-t-il un obstacle pour les cybercriminels ?

Un botnet composé d’appareils sous Linux a atteint une telle amplitude qu’il était capable de lancer une attaque DDoS de 150+ gigabit par seconde. La première attaque de ce type a été rapportée par Akamai Technologies.

https://habrahabr.ru/company/ua-hosting/blog/268007/

https://habrahabr.ru/post/213973/

Le botnet utilisé pour monter des attaques DNS et SYN-flood a été créé en exploitant les vulnérabilités d’ Apache Struts, Apache Tomcat, et Elasticsearch.

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/iptables-iptablex-linux-bots-botnet-cybersecurity-threat-advisory.pdf

420 000 appareils vulnérables ont été découverts. Ils étaient enrôlés dans un botnet qui avait effectué des scans de ports distribués pendant 10 mois. Le fait de mener ce projet impliquait d’être dans l’illégalité, ceux qui ont mené ces recherches ont travaillé à couvert.

http://www.opennet.ru/opennews/art.shtml?num=36454

Et un autre problème :

Google ne délivre des mises à jour qu’à ses appareils Nexus. Les patches pour les autres apapreils sont la responsabilité des fabricants. Google a indiqué que toutes les informations relatives aux patches ont été diffusées à ses partenaires (les fabricants) le 7 décembre 2015, mais la date de la publication des patches demeure inconnue à ce jour.

https://xakep.ru/2016/01/06/android-critical-flaws/

Le projet Lumières sur la sécurité recommande

  • Si vous vous préoccupez de la sécurité autant que du design de votre appareil, choisissez des produits fabriqués par les leaders. Sinon, les chances de voir publier les patches de sécurité restent minces.
  • Malheureusement, vous ne pouvez attendre d’un fabricant qu’il supporte votre modèle indéfiniment.
  • Puisque personne ne peut garantir qu’une vulnérabilité Android sera fermée, la protection des appareils doit inclure un Audit de Sécurité (comme dans Dr.Web Security Space). Cela pourra vous aider à éviter que les vulnérabilités ne soient exploitées même si elles ne sont pas fermées.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs

Commentaires sur d'autres publication | Mes commentaires